花样翻新！2023年不容忽视的5大新兴社会工程攻击

忘记普通的网络钓鱼攻击吧！

如今的网络犯罪分子已经开发了更有趣的招数。

MFA疲劳攻击

当智能手机推送通知首次出现时，业界似乎终于找到了一种既易于使用又比短信一次性密码（OTPs）等选项更安全的多因素身份验证（MFA）。

然而，2022年9月的Uber数据泄露事件却揭开了属于它的最后一层“遮羞布”。在此事件中，黑客组织Lapsus$采用了“MFA疲劳”攻击策略，成功运用他们的演技和毅力不断进行测试，最终窃取了Uber承包商的证书，然后通过伪造的方式越过了保护Uber内部系统的最后一道屏障：一个脆弱的MFA文本代码。

事实上，所谓MFA疲劳（MFA Fatigue）攻击，通常指的是攻击者运行一个自动化脚本，反复使用被盗凭据登录，从而导致向帐户所有者的移动设备无休止地发送MFA授权通知。其目的在于通过无休止的消息推送实施“疲劳轰炸”，摧垮目标的安全意识，直至他们出现失误。一旦MFA请求被批准，黑客就可以访问用户的帐户并随意滥用。这种攻击的主要目的是发送源源不断的MFA推送通知，给帐户所有者造成疲劳感。在适当的时候，这种MFA疲劳会使帐户所有者无奈或被迫同意登录请求，以停止MFA推送通知。

“紧急”短信诈骗

“妈妈，我出了车祸，紧急需要一笔钱”，任何有子女的父母应该都不会无视这些短信或微信消息。攻击者也深知这一点，这就是它正成为一种越来越普遍的社会工程骗局的原因所在。攻击者如何才能消除目标受众对信息来自未知电话号码的怀疑呢？很简单：“我的手机坏了，所以从现在起你必须通过这个新号码与我联系。”

很多人可能觉得这并非一个完美的假冒骗局，但事实证明它确实非常有效。

虚假的数据泄露

数据泄露是坏消息，但有时完全虚构的数据泄露几乎同样危险。这项技术很巧妙：攻击者会挑选一家过去曾遭受过数据泄露的知名企业，然后向数百万目标受众群散布完全虚构的报告，通过谷歌警报（Alerts）通知目标受众再次遭遇了数据泄露，目的是诱使目标访问合法但已被黑客攻击的网站，从而感染恶意软件。这个主题的变体是免费赠品。这里的社会工程手段利用的是用户对谷歌Alerts的盲目信任。

“回呼”（Callbback）钓鱼

大规模网络钓鱼攻击的成功不应该让我们忽视其他创新的成功。“回呼”网络钓鱼就是一个重新流行起来的例子。用户首先会收到一封来自一个已知但被欺骗的联系人的个性化电子邮件，要求他们拨打一个号码来确认一个悬而未决的订阅或账单支付。任何被愚弄并决定打电话的人都会被操纵着放弃账户信息来实施金融欺诈。另外，一些勒索软件组织也使用这种技术来说服人们安装他们的恶意软件。聪明的地方在于，使用电话可以轻松地绕过软件防御机制，从而降低攻击被发现的可能性。

Deepfake钓鱼

这种攻击策略是大势所趋，将发生在不远的将来。在这种攻击场景中，用户将被社会工程手段诱骗去做一些日后会后悔的事情，而攻击所用的令人信服的图片或语音通常来自他们的亲人（从社交媒体上挑选图片或其他信息，通过人工智能引擎处理）、同事甚至首席执行官。

作为虚假信息的产物，这种技术被比作“真相凋零”（truth decay），该概念由美国智库兰德公司提出，指的是目前事实和基于事实的分析比重减少的现象。简单来说，即任何事物都可以被伪装成“真实”。

Gartner曾在2021年警告称，虽然各公司都在忙着防御勒索软件攻击，但他们没有为合成媒体即将到来的冲击做任何准备。不可避免的是，这些技术将被商品化，到那时它们将成为一种日常威胁。